校园一卡通系统的规范化部署方案

校园一卡通系统的规范化部署方案

作者：张莹

来源：《科技传播》2011年第15期

摘要随着一卡通系统在校园内广泛应用，合理和安全的部署方案显得越来越重要。本文针对这两点问题进行了详细的阐述，意在使校园一卡通系统的可扩展性、可维护性、可信赖性有所提升。

关键词一卡通；规范化设计；系统安全

中图分类号TN91 文献标识码A 文章编号 1674-6708（2011）48-0207-02

随着信息集成化时代的到来，一卡通对校园生活快捷化和简单化的推进作用越来越明显。而智能IC技术的日趋成熟，为校园一卡通建设提供了保障。目前校园卡主要应用包含学生证卡、食堂饭卡、开水卡、用电卡、节水控制卡、图书借阅卡、银行卡以及电话卡等应用。如何合理的部署该系统，直接涉及到管理和应用的方便性、系统的安全性以及数据的准确性等问题，因此我们从硬件、软件和安全三个方面展开设计。

1 硬件方面

数据库服务器使用两台基于UNIX系统的IBM P6 570小型机，一台阵列。两台小型机共享一台磁盘阵列，阵列使用安全性较高的RAID5。前置机服务器全部使用基于LINUX系统的IBM3650。均采用双网卡工作方式，一个负责与数据库服务器通讯，另外一个负责与终端机通讯。为了保证数据库服务器的安全性，与数据库服务器通讯的前置机网卡IP一律使用C类地址192.168.0.1~192.168.0.255。与校园网终端通讯的网卡则配置接入校园网VLAN的独立IP地址段。这样前置机可以启到防火墙作用，阻止黑客对数据中心的直接攻击。负责圈存业务的转账服务器与银行数据中心采用专线互联，服务器不直接连入校园网，只允许前置机服务器直接访问。所有终端机则配以加密狗，确保通讯数据流的安全性。

2软件方面

软件系统采用三层架构的形式，分别为数据库/前置机/终端机。按功能可分为操作系统、数据库系统、服务器端应用软件、终端机应用软件。为了方便一卡通功能扩充，软件在架构上必须分为系统管理层和工作站子系统层。由系统管理中心统一管理各个应用子系统，各个子系统可以灵活由用户定制，用户可以自己开发子系统加入一卡通系统。

为了确保稳定性和安全性，数据库服务器将使用较为稳定的UNIX（AIX6）操作系统，并装载HA热备系统。数据库系统使用oracle10gr2，选择oracle数据库是因为在海量数据处理、灾难恢复、数据备份等方面该系统具有极高的可靠性和稳定性，而且久经市场考验，是被广泛

认可的数据中心应用平台。数据库系统的应用文件安装在每台小型中，库文件系统则只安装在磁盘阵列中，实现了数据统一性管理。

前置机服务器将使用LINUX(REDHAT9)和windows2003操作系统。前置机系统是直接于数据库通讯的服务器，负责与终端机、接口和数据库的数据加密、解密、密匙分配、数据中转，日结等工作。因此前置机中将安装MYSQL、SQLSERVER等中型数据库，作为保存缓冲数据之用。

综合业务前置机服务器中安装了综合业务管理中心系统。综合业务管理中心是整个系统应用管理和安全的核心，负责系统密钥的生成和管理以及整个系统中心数据库的维护和管理，同时负责接处理所有交易流水，并定期进行结算。管理中心终端可以管理所有系统操作人员信息、负责分配子系统操作员权限、统计和处理消费记录、负责所有设备的添加删除等等功能。同时系统管理中心还负责整个系统安全管理、系统运行监控等工作。身份认证前置机中安装了身份认证系统，主要负责校验和查询持卡人详细信息，主要负责与会议签到、考勤等系统的通讯工作。

通讯方面系统以校园网作为系统网络的基础，这样做可以节约成本，不二次布线带来工程上的巨大开销。缺点是安全性面临挑战。路由方面采用划分VLAN 的方法，VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟路由的新兴数据交换技术。采用VLAN 技术可以简化网络管理，并增强网络的安全性。实施中将所有一卡通系统的计算机全部接入校园主干网，然后采用VLAN技术将一卡通系统的计算机从校园网中划分到一个VLAN中，以达到一卡通网络与校园网逻辑上分开，互相不能访问。为了进一步确保安全性我们还通过设置交换机的access-list对VLAN做了相应安全控制，只开放系统通讯必须用到的端口，杜绝黑客利用系统可能存在的后门进行攻击。

3安全方面

小型机采用双机热备份的设计，可确保数据库系统在意外情况下不间断工作。前置机服务器中建立中型数据库，可以用于缓冲用户身份信息，并保存所有操作日志。交易流水网关可以在断网情况下保存一周的交易流水数据，因此即便出现网络故障或服务器故障时，消费终端仍然可以继续工作，数据都会保存在各个读写终端中，一但网络恢复，所有数据将会自动回送至系统中心数据库。避免了影响师生餐饮和日常生活的需要。由于校园IC 卡中存储有个人的身份识别和账目信息，系统可以将IC 卡中的个人信息恢复到一卡通系统数据库中，重新建立个人的身份识别和账目信息。如果账目信息不匹配，系统可以通过平账处理，取最低消费记录为原则，使用户账目信息同步。同时可以最大程度的恢复系统各种账目信息，将损失降到最低点。在数据通讯方面，为了保证数据传输的安全性，我们在通讯的过程中，使用3DES方法不断变换加密密钥，对数据包进行加密，保证了数据通信的安全性。

通过对问题的深入分析、合理的设计和部署，我们基本可以实现集管理的规范性、安全性、开放性于一体的校园一卡通系统。全面促进了校园信息化的建设,构建了优良的数字空间

和信息共享环境。努力提升校园一卡通系统的安全性，将规范化设计原则应用到校园一卡通系统项目实施当中，方可逐渐扩大校园一卡通系统应用的领域。

参考文献

[1]刘恩军，王克生，孙桂江.校园一卡通系统安全策略的研究[J].网络通讯及安全，

2010(8)：6170-6171.

[2]王洪军.浅谈高校一卡通系统的数据安全[J].科技创新导报，2010，24.

[3]何大为，李晓航.多功能IC卡系统设计与系统安全性[J].计算机应用，1999，9.